Aller au contenu principal
NIS2Certify
Retour à l'aperçu

Belgique NIS2 : Le cadre CyFun, la date limite du 18 avril et ce que les MSP doivent faire maintenant

Par NIS2Certify
nis2belgiquecyfuncyberfundamentalsccbauditmspconformiteevaluation-de-conformite

Le 18 avril 2026, la Belgique est devenue le premier État membre de l'UE à imposer une date limite stricte d'évaluation de conformité NIS2. Les entités essentielles opérant sous la loi belge devaient soumettre une preuve de conformité au Centre pour la Cybersécurité Belgique (CCB) avant cette date. Pas une auto-déclaration. Pas une feuille de route. Une évaluation réellement vérifiée par un tiers.

Si vous gérez la conformité NIS2 pour des clients belges — ou si vos clients fournissent des services vers la Belgique — cela change la conversation.

Ce que la date limite du 18 avril exigeait réellement

La loi belge donnait aux entités essentielles deux voies de conformité :

Voie CyberFundamentals (CyFun) : Les entités essentielles devaient obtenir au minimum une déclaration de vérification CyFun Basic ou CyFun Important d'un organisme d'évaluation de la conformité (OEC) accrédité BELAC au 18 avril 2026.

Voie ISO/IEC 27001 : Les organisations déjà certifiées ISO 27001 pouvaient soumettre leur document de périmètre, leur Déclaration d'Applicabilité (DdA) et les résultats de leur dernier audit interne directement par e-mail au CCB avant la même échéance.

Aucune des deux voies ne permet l'auto-attestation. La Belgique exige explicitement une tierce partie indépendante pour vérifier la conformité — un modèle plus rigoureux que ce que la plupart des États membres de l'UE ont mis en place jusqu'à présent.

La prochaine date limite stricte est le 18 avril 2027, date à laquelle la certification OEC complète est requise pour toutes les entités essentielles. Les entités importantes suivent un calendrier séparé, légèrement plus tardif.

Comprendre CyFun : le cadre national NIS2 de la Belgique

Le cadre CyberFundamentals — CyFun — est l'approche structurée du CCB pour la conformité NIS2. Ce n'est pas un remplacement de NIS2 ; c'est une opérationnalisation de celui-ci pour le marché belge.

CyFun est structuré autour de 6 fonctions, 22 catégories et 106 sous-catégories. Il se mappe directement sur les mesures de sécurité requises par NIS2 Article 21, couvrant des domaines comme la gestion des risques, le contrôle d'accès, la réponse aux incidents, la continuité des activités et la sécurité de la chaîne d'approvisionnement.

Le cadre comporte quatre niveaux :

  • CyFun Basic — 34 contrôles, le point de départ pour les petites organisations
  • CyFun Important — la norme pour les "entités importantes" NIS2
  • CyFun Essential — requis pour les "entités essentielles" NIS2
  • CyFun Critical — pour les secteurs à risque le plus élevé

Pour la plupart des clients MSP en Belgique, CyFun Important ou Essential est le niveau pertinent. CyFun Basic est une étape intermédiaire valide mais ne suffit pas pour une conformité NIS2 complète à long terme.

Le goulot d'étranglement OEC : un problème pratique pour les consultants

En avril 2026, seulement deux organismes accrédités BELAC sont autorisés à effectuer des audits de certification CyFun en Belgique : Brand Compliance Belgie et What a Work SRL (Trust CHECK).

Deux auditeurs pour toute la population d'entités essentielles d'un pays entier est une contrainte de capacité sérieuse. Ce n'est pas une préoccupation théorique — les organisations qui ont planifié l'audit trop tard se sont trouvées incapables de respecter la date limite du 18 avril sans que leur propre préparation en soit la cause.

Pour les consultants IT et les MSP, cela crée à la fois un problème et une opportunité. Le problème : vos clients ont besoin de créneaux d'audit qui peuvent ne pas être disponibles quand ils en ont besoin. L'opportunité : les clients pleinement préparés quand un créneau s'ouvre passent l'audit plus rapidement, réduisent le temps d'engagement OEC et abaissent leur coût total de conformité.

Préparer les clients aux audits CyFun — analyse des écarts, contrôles documentés, coffres à preuves, documentation des politiques — est une offre de services MSP concrète. Le modèle CCB est que les MSP préparent, les OEC vérifient. Cette division du travail est un modèle commercial.

Ce que NIS2 belge signifie pour les fournisseurs transfrontaliers

La loi belge NIS2 ne s'applique pas uniquement aux entreprises belges. Si votre organisation fournit des services ou produits TIC à des entités essentielles ou importantes belges, ces clients belges sont désormais tenus en vertu de l'Article 21 de gérer la sécurité de leur chaîne d'approvisionnement — ce qui signifie qu'ils vous demanderont des preuves de conformité.

Cela reflète le schéma que nous avons couvert dans la sécurité de la chaîne d'approvisionnement NIS2 : les clients en aval deviennent un facteur de contrainte de conformité pour leurs fournisseurs, quelle que soit la localisation de ces fournisseurs.

Si vous êtes un MSP basé aux Pays-Bas, en Allemagne ou ailleurs fournissant des services gérés à des clients belges, attendez-vous à recevoir des questionnaires d'achat et des clauses contractuelles NIS2 dans votre boîte de réception. Le modèle d'application belge rend cela concret plutôt que théorique.

Le reste de l'UE observe

L'approche de la Belgique est suivie de près par les autres États membres. Le modèle CCB — vérification obligatoire par des tiers, un écosystème OEC accrédité, un cadre à plusieurs niveaux avec des jalons clairs — est plus structuré que ce que la plupart des pays de l'UE ont construit.

En mai 2026, 21 des 27 États membres de l'UE ont transposé NIS2 dans leur droit national. La Commission européenne a envoyé des avis motivés à 19 États membres exigeant une transposition complète. L'application est active, pas en attente.

Le BSI allemand mène une montée en puissance parallèle de l'application sous NIS2UmsuCG — nous l'avons couvert dans l'application NIS2 Allemagne. L'ACN italienne a fixé octobre 2026 comme date limite pour que les exigences minimales de sécurité entrent en vigueur. L'ANSSI française avance vers l'application selon son propre calendrier législatif.

Le schéma est clair : 2026 est l'année où NIS2 passe de la transposition à la supervision active dans l'ensemble du bloc. La Belgique a simplement agi en premier.

Ce que les MSP doivent faire maintenant

Si vous avez des clients belges qui sont des entités essentielles ou importantes :

Auditez la situation d'audit. Découvrez si vos clients ont planifié ou terminé leur évaluation de conformité CyFun. Sinon, inscrivez-les immédiatement sur une liste d'attente OEC — la capacité est limitée.

Effectuez une analyse des écarts CyFun. Cartographiez les contrôles de sécurité actuels de vos clients par rapport au niveau CyFun pertinent. Les écarts trouvés maintenant sont corrigeables ; les écarts trouvés lors d'un audit sont coûteux.

Construisez le coffre à preuves. Les auditeurs CyFun veulent des contrôles documentés et des preuves de mise en œuvre — pas seulement des politiques. Les politiques sans preuves échouent à la vérification.

Vérifiez l'exposition de la chaîne d'approvisionnement. Si vos clients sont des entités essentielles, ils ont besoin de contrats fournisseurs conformes NIS2 en vertu de l'Article 21. Si vous êtes un fournisseur d'entités essentielles belges, vous devez être prêt à produire vos propres preuves de conformité.

Pour les clients encore au point de départ, une analyse des écarts NIS2 structurée est le moyen le plus rapide d'établir où ils en sont réellement. Vous pouvez effectuer une évaluation initiale sur NIS2Certify pour générer une base de référence avant de planifier l'audit OEC formel.

La leçon plus large de la Belgique

La mise en œuvre NIS2 de la Belgique démontre à quoi ressemble réellement l'application lorsqu'un régulateur construit un cadre opérationnel concret plutôt que de laisser l'interprétation de la conformité ouverte. Le cadre CyFun, le modèle d'accréditation OEC et la date limite stricte du 18 avril n'ont laissé aucune place à l'ambiguïté.

Pour les MSP et les consultants IT, c'est utile — même si vos clients ne sont pas belges. Cela montre la direction que prend l'application dans l'UE. Les régulateurs construisent des écosystèmes d'auditeurs accrédités, fixent des délais stricts et s'éloignent de l'auto-attestation.

Les organisations en avance sur cette tendance — entièrement documentées, analysées par rapport aux écarts et prêtes pour l'audit — dépenseront moins de temps et d'argent en conformité que celles qui attendent qu'un délai force la question.

La Belgique a déjà établi ce précédent. Le reste de l'UE se construit vers le même modèle.

    Belgique NIS2 : Le cadre CyFun, la date limite du 18 avril et ce que les MSP doivent faire maintenant — NIS2Certify